-
HINTERGRUND DER ERFINDUNG
-
1. Gebiet der
Erfindung
-
Die
vorliegende Erfindung bezieht sich auf eine Sicherheitstechnik für ein schnurloses
LAN-System (WLAN-System).
-
2. Verwandte
Techniken
-
In
einem WLAN werden Daten verschlüsselt, um
den Inhalt der Daten unlesbar zu machen, selbst wenn die über einen
Funkkanal ausgetauschten Signale von einem Dritten abgehört werden.
In einem WLAN-System, das mit dem Standard IEEE802.11b/IEEE802.11a
konform ist, wird eine Verschlüsselungstechnik
mit dem Namen WEP (Wired Equivalent Privacy) auf einen Funkabschnitt
zwischen einem Access-Point-Gerät und einem
Endgerät-Gerät angewendet.
-
In
einem WLAN-System, das die WEP-Verschlüsselungstechnik
verwendet, werden Daten, die zwischen einem Access-Point und einem
Endgerät übertragen
werden, verschlüsselt.
Die WEP-Verschlüsselungstechnik
verwendet ein Shared-Key-Verfahren, bei dem ein Shared-Key, der sowohl
in dem Access-Point als auch in dem Endgerät festgelegt ist und der nicht über den
Funkkanal gesendet wird, für
die Verschlüsselung
von Daten verwendet (siehe beispielsweise die japanische Offenlegungsschrift
Nr. 2001-111543).
-
Die 1 und 2 sind
konzeptionelle Darstellungen, um eine WEP-Verschlüsselung
und dessen Entschlüsselung
zu umreißen. 1 zeigt ein
Sendegerät
und 2 zeigt ein Empfangsgerät.
-
Ein
Shared-Key 81, der in 1 und 2 gezeigt
ist, ist eine Schlüsselinformation,
die sowohl im Sendegerät
als auch im Empfangsgerät
vorbestimmt und allgemein bereitgehalten werden. Die Länge der
Schlüsselinformation
kann 40 Bit oder 104 Bit betragen. Obwohl der 40-Bit Shared-Key 81 unten beispielhaft
beschrieben ist, ist ein 104-Bit Shared-Key grundsätzlich gleichartig.
-
Unter
Bezugnahme auf 1 verwendet das Sendegerät einen
64-Bit Verschlüsselungs-Key 83, der
erzeugt wird, durch Mischen des 40-Bit Shared-Key 81 mit
einem 24-Bit Initialisierungsvektor 82. Der Initialisierungsvektor 82 ist
ein Wert, der die Basis einer für
die Verschlüsselung
verwendeten Zufallszahlsequenz ist, und er wird zusammen mit verschlüsselten
Daten 86 zum Empfangsgerät übertragen. Vorzugsweise wird
der Initialisierungsvektor 82 häufig gewechselt. Beispielsweise
kann er bei jeder Mitteilung gewechselt werden.
-
Das
Sendegerät
führt unter
Verwendung des Verschlüsselungs-Keys 83 eine
vorgeschriebene Berechnung 85 auf unverschlüsselten
Rohtextdaten 84 aus, um dadurch die verschlüsselten
Daten 86 zu erzeugen, d. h. Daten, die bereits verschlüsselt wurden.
Die Berechnung 85 ist ein Prozeß, der unter Verwendung des
Verschlüsselungs-Keys 83 eine
Pseudozufallszahlensequenz erzeugt und eine XOR mit der Pseudozufallszahlensequenz
und den Rohtextdaten 84 durchführt, um dadurch die verschlüsselten Daten 86 zu
erzeugen.
-
Das
Sendegerät
sendet dann die verschlüsselten
Daten 86 und den Initialisierungsvektor 82 zum
Empfangsgerät.
-
Unter
Bezugnahme auf 2 mischt das Empfangsgerät den vom
Sendegerät
empfangenen Initialisierungsvektor 82 mit dem Shared-Key 81,
den es selbst aufbewahrt, um daraus den Verschlüsselungs-Key 83 zu
erhalten. Dann führt
das Empfangsgerät
unter Verwendung der vom Sendegerät empfangenen verschlüsselten
Daten 86 und des Verschlüsselungs-Keys 83 eine
vorbestimmte Zähler-Berechnung 91 durch,
um dadurch die Rohtextdaten 84 wieder herzustellen. Wie
die Berechnung 83 ist die Zähler-Berechnung 91 ein
Prozeß,
bei dem unter Verwendung des Verschlüsselungs-Keys 83 eine Pseudozufallszahlensequenz
erzeugt wird, und mit der Pseudozufallszahlensequenz und den verschlüsselten
Daten 86 ein XOR durchgeführt wird, um dadurch den Rohtext 84 wiederherzustellen.
-
In
einem WLAN-System werden Daten auf einem Funkkanal mit der WEP-Verschlüsselungstechnik
verschlüsselt
und selbst wenn die Signale von einem Dritten abgehört werden,
so können
diese doch nicht leicht gelesen werden.
-
Bei
der WEP-Verschlüsselungstechnik
ist, obwohl der Initialisierungsvektor 82 häufig gewechselt
wird, der Initialisierungsvektor 82 mit 24 Bit so kurz,
daß er
in kurzen Folgen wiederholt wird. Wenn ein Dritter Daten auf dem
Funkkanal kontinuierlich überwacht
und Daten mit gleichem Initialisierungsvektor 82 sammelt,
so kann der Shared-Key 81 leicht entziffert werden. Es
ist bekannt, daß der Shared-Key 81 durch
eine Überwachung
der Daten über
einen Zeitraum von ungefähr
24 Stunden entziffert werden kann. Wenn der Shared-Key 81 entziffert ist,
und die Verschlüsselung
gebrochen ist, so können
die Daten abgehört
oder manipuliert werden. Da ferner der Shared-Key 81 von
jedem Benutzer eingegeben werden muß, was umständlich sein kann, besteht außerdem die
Gefahr, daß die
Verschlüsselung nicht
verwendet wird.
-
EP-A-1
146 692 offenbart ein Mobilkommunikationssystem mit einem mobilen
Endgerät,
das ausgelegt ist, um in Übereinstimmung
mit einem ersten Funkkommunikationssystem zu kommunizieren und in Übereinstimmung
mit einem zweiten Funkkommunikationssystem zu kommunizieren, mit
einer verbesserten Vorrichtung, um die Authentifizierung im zweiten
Funkkommunikationssystems zu vereinfachen, um gemäß des zweiten
Funkkommunikationssystems zu kommunizieren, wobei die Vorrichtung
umfaßt:
eine mit dem zweiten Funkkommunikationssystem verbundene Speichereinheit,
wobei die Speichereinheit Angaben über einen Sicherheitsidentifikator speichert,
der das MobilEndgerät
in dem zweiten Funkkommunikationssystem identifiziert, wobei die Angaben über den
Sicherheitsidentifikator dem zweiten Funkkommunikationssystem zugänglich sind,
um in den Authentifizierungsvorgängen
durch das MobilEndgerät
verwendet zu werden, um sich an dem zweiten Funkkommunikationssystem
anzumelden.
-
ZUSAMMENFASSUNG
DER ERFINDUNG
-
Daher
ist es ein Ziel der vorliegenden Erfindung, ein Funkkommunikationssystem
bereitzustellen, auf das eine Verschlüsselungstechnik angewendet
wird, die weniger Möglichkeiten
des Abhörens oder
Manipulation von Daten aufweist, und die von den Benutzern leichter
verwendet werden kann.
-
Um
das vorgenannte Ziel zu erreichen, umfaßt ein Funkkommunikationssystem
gemäß der vorliegenden
Erfindung: ein erstes Kommunikationsnetzwerk, über das Datenkommunikationen
durchgeführt
werden; ein zweites Kommunikationsnetzwerk, das unabhängig von
dem ersten Kommunikationsnetzwerk gebildet ist; ein Endgerät, das mit
dem ersten Kommunikationsnetzwerk und dem zweiten Kommunikationsnetzwerk
verbunden ist; einen Shared-Key-Management-Server,
der mit dem ersten Kommunikationsnetzwerk und dem zweiten Kommunikationsnetzwerk
verbunden ist; und eine Authentifizierungseinheit, die im ersten
Kommunikationsnetzwerk vorgesehen ist. Der Shared-Key-Management-Server
umfaßt
ein Mittel zum Empfang einer Erteilungsanfrage, das durch das zweite
Kommunikationsnetzwerk vom Endgerät eine Erteilungsanfrage für einen
Shared-Key zur Benutzung im ersten Kommunikationsnetzwerk empfängt; ein
Mittel zur Erzeugung eines Shared-Keys, welches gemäß der Shared-Key-Erteilungsanfrage
vom Endgerät
einen Shared-Key für
das Endgerät
erzeugt, wobei die Erteilungsanfrage vom Mittel zum Empfangen der
Erteilungsanfrage empfangen wird; sowie ein Mittel zur Mitteilung
eines Shared-Keys, welches den in dem Mittel zur Erzeugung des Shared-Key
erzeugten Shared-Key dem Endgerät über das
zweite Kommunikationsnetzwerk und der Authentifizierungseinheit über das
erste Kommunikationsnetzwerk mitteilt; sowie dadadurch, daß die Authentifizierungseinheit eine
Funktion zur wahr/falsch-Authentifizierung
des Endgeräts
aufweist, bei der eine Authentifizierungsanfrage als Auslöser verwendet
wird, die von dem Endgerät
basierend auf dem Shared-Key ausgegeben wird, und bei der das Authentifizierungsergebnis dem
Endgerät
mitgeteilt wird. Das Endgerät
gibt, basierend auf dem Shared-Key,
an die Authentifizierungseinheit eine Authentifizierungsanfrage
aus, wobei die Information von dem Shared-Key-Management-Server
als Auslöser
verwendet wird, und führt eine
Datenkommunikation über
das erste Kommunikationsnetzwerk basierend auf dem Shared-Key durch,
indem das Authentifizierungsergebnis von der Authentifizierungseinheit
als Auslöser
verwendet wird.
-
In
der vorliegenden Erfindung wird, wenn Datenkommunikationen von dem
Endgerät
unter Verwendung des ersten Kommunikationsnetzwerks durchgeführt werden,
eine Erteilungsanfrage für
einen Shared-Key von dem Endgerät
an den Shared-Key-Management-Server über das zweite Kommunikationsnetzwerk
ausgegeben. Der Shared-Key-Management-Server erzeugt den Shared-Key, wobei
die von dem Endgerät über das zweite
Kommunikationsnetzwerk ausgegebene Shared-Key-Erteilungsanfrage als Auslöser verwendet
wird. Der erzeugte Shared-Key wird von dem Shared-Key-Management-Server
der Authentifizierungseinheit und dem Endgerät mitgeteilt.
-
Das
Endgerät
gibt an die Authentifizierungseinheit eine Authentifizierungsanfrage
basierend auf dem Shared-Key aus, indem sie die Information vom Shared-Key-Management-Server
als Auslöser
verwendet. Daraufhin authentifiziert die Authentifizierungseinheit
das Endgerät
als wahr/falsch unter Verwendung der von dem Endgerät basierend
auf dem Shared-Key ausgegeben Authentifizierungsanfrage als Auslöser, und
teilt dem Endgerät
das Authentifizierungsergebnis mit. Das Endgerät, das das Authentifizierungsergebnis
von der Authentifizierungseinheit als Auslöser verwendet, führt Datenkommunikationen
basierend auf dem Shared-Key über
das erste Kommunikationsnetzwerk durch.
-
Gemäß der vorliegenden
Erfindung fragt das Endgerät über das
zweite Kommunikationsnetzwerk beim Shared-Key-Management-Server an, einen Shared-Key
zu erteilen, und der Shared-Key-Management-Server erzeugt den Shared-Key
und teilt den Shared-Key sowohl dem Endgerät als auch der Authentifizierungseinheit
mit. Deshalb können
die Authentifizierungseinheit und das erste Kommunikationsnetzwerk
automatisch einen Shared-Key erhalten, der nur den beiden bekannt
ist, und können
diesen zum Schutz der Sicherheit des Funkkanals verwenden.
-
Das
Funkkommunikationssystem der vorliegenden Erfindung kann so ausgelegt
sein, daß das erste
Kommunikationsnetzwerk aus einem WLAN gebildet ist, das mit dem
Endgerät
eine Verbindung über
den Funkkanal herstellt, wobei die Authentifizierungseinheit wenigstens
ein Access-Point-Gerät
umfaßt
und mit dem WLAN über
ein Kabel-LAN verbunden ist, und das zweite Kommunikationsnetzwerk
ein Mobiltelefonnetzwerk ist, das wenigstens einen Ortsregistrierungsbereich
abdeckt.
-
Demgemäß können in
der vorliegenden Erfindung Kommunikationsnetzwerke Verwendung finden,
die bereits im ersten Kommunikationsnetzwerk bzw. im zweiten Kommunikationsnetzwerk
vorhanden sind, so daß eine
Erhöhung
der Kosten vermieden werden kann.
-
In
dem Funkkommunikationssystem der vorliegenden Erfindung kann der
Shared-Key-Management-Server den Shared- Key allen Access-Point-Geräten mitteilen,
die sich in einem Bereich befinden, an dem ein Endgerät-Ort im
zweiten Kommunikationsnetzwerk registriert ist.
-
Da
jedem Access-Point-Gerät
in der Umgebung des Endgeräts
ein Shared-Key zugeteilt wird, wird das mit dem ersten Kommunikationsnetzwerk über das
Access-Point-Gerät
zu verbindende Endgerät
einem wahr/falsch-Authentifizierungstest unterzogen, wenn dieses
sich mit dem ersten Kommunikationsnetzwerk verbindet, und nur ein
Endgerät
dessen Authentifizierungsergebnis wahr ist wird mit dem ersten Kommunikationsnetzwerk
verbunden. Deshalb ist es möglich,
Fälle zu
vermeiden, bei denen statt dem Benutzer des Endgeräts ein Dritter
an dessen Stelle agiert und Datenkommunikationen durchführt.
-
In
dem Funkkommunikationssystem der vorliegenden Erfindung kann der
Shared-Key-Management-Server jedem Access-Point-Gerät einen unterschiedlichen Shared-Key
zuweisen und dem Endgerät
alle diese Shared-Keys mitteilen.
-
So
werden unter Verwendung verschiedener Shared-Keys Funkkommunikationen
durchgeführt, indem
ein zu verbindendes Endgerät
und jedes Access-Point-Gerät
als Einheit behandelt werden, was es schwieriger macht, den Shared-Key
zu entziffern, so daß eine
hohe Sicherheit aufrechterhalten werden kann.
-
In
dem Funkkommunikationssystem der vorliegenden Erfindung kann das
Endgerät
den Shared-Key-Management-Server in vorbestimmten Zeitintervallen
auffordern, einen Shared-Key zu erteilen.
-
Auf
diese Weise wird der Shared-Key erneuert, bevor der Shared-Key durch
eine kontinuierliche Überwachung
der Daten entziffert werden kann, was es schwierig macht, den Shared-Key zu entziffern. Außerdem verhindert
dies die Durchführung
eines unautorisierten Zugangs unter Verwendung eines entzifferten
Shared-Keys, so daß die
Sicherheit der Kommunikation zuverlässig aufrechterhalten werden kann.
-
In
dem Funkkommunikationssystem gemäß der vorliegenden
Erfindung kann das Endgerät
den Shared-Key-Management-Server dazu auffordern, einen Shared-Key
jedesmal dann zu erteilen, wenn das Endgerät seinen Ort in dem zweiten
Kommunikationsnetzwerk registriert.
-
So
wird der vom Endgerät
und dem Access-Point-Gerät
gehaltene Shared-Key dann erneuert, wenn die Ortsregistrierung stattfindet,
was es schwierig macht, den Shared-Key mittels einer kontinuierlichen Überwachung
der Daten zu entziffern.
-
In
dem Funkkommunikationssystem der vorliegenden Erfindung kann der
Shared-Key-Management-Server einen Shared-Key für ein gemeinsames Endgerät in vorbestimmten
Zeitintervallen erzeugen und dem Endgerät und der Authentifizierungseinheit den
Shared-Key mitteilen.
-
So
wird ein von dem Endgerät
und der Authentifizierungseinheit gehaltener Shared-Key periodisch
erneuert, was es erschwert, den Shared-Key mittels einer kontinuierlichen Überwachung
der Daten zu entziffern.
-
In
dem Funkkommunikationssystem der vorliegenden Erfindung kann der
Shared-Key für
die Verschlüsselung
der von der Authentifizierungseinheit und dem Endgerät gesendeten/empfangenen Daten
verwendet werden.
-
In
dem Funkkommunikationssystem der vorliegenden Erfindung kann der
Shared-Key auch von der Authentifizierungseinheit verwendet werden,
um das Endgerät
zu authentifizieren.
-
Der
Shared-Key-Management-Server der vorliegenden Erfindung ist ein
Shared-Key-Management-Server zur Verwendung in einem Funkkommunikationssystem
umfassend ein erstes Kommunikationsnetzwerk für von einem Endgerät durchgeführte Datenkommunikationen
und ein zweites Kommunikationsnetzwerk, das unabhängig von
dem ersten Kommunikationsnetzwerk gebildet ist, und ist vorgesehen,
um einen Shared-Key zur Verwendung in den Datenkommunikationen zu
erzeugen. Der Shared-Key-Management-Server
umfaßt:
ein Mittel zum Empfangen einer Erteilungsanfrage, das über das
zweite Kommunikationsnetzwerk von dem Endgerät eine Erteilungsanfrage für einen
Shared-Key zur Verwendung in dem ersten Kommunikationsnetzwerk empfängt; ein
Mittel zum Erzeugen eines Shared-Keys, das einen Shared-Key für das Endgerät gemäß der Shared-Key-Erteilungsanfrage
von dem Endgerät
erzeugt, wobei die Erteilungsanfrage am Mittel zum Empfangen der
Erteilungsanfrage empfangen wird; sowie ein Mittel zum Mitteilen
eines Shared-Keys, das dem Endgerät über das zweite Kommunikationsnetzwerk
und der Authentifizierungseinheit über das erste Kommunikationsnetzwerk
den am Mittel zur Erzeugung eines Shared-Keys erzeugten Shared-Key
mitteilt.
-
Der
Shared-Key-Management-Server der vorliegenden Erfindung kann so
ausgelegt sein, daß das
erste Kommunikationsnetzwerk aus einem WLAN gebildet wird, das eine
Verbindung zum Endgerät über einen
Funkkanal herstellt und mit einer Authentifizierungseinheit versehen
ist; die Authentifizierungseinheit hat eine Funktion der wahr/falsch-Authentifizierung
des Endgeräts,
indem eine Ausgabe einer Authentifizierungsanfrage vom Endgerät basierend
auf dem Shared-Key als ein Auslöser
verwendet wird, und dem Endgerät
das Authentifizierungsergebnis mitgeteilt wird; die Authentifizierungseinheit
umfaßt
wenigstens ein Access-Point-Gerät und ist
mit dem WLAN über
ein Kabel-LAN verbunden; und das zweite Kommunikationsnetzwerk ist
ein Mobiltelefonnetzwerk, das wenigstens einen Ortsregistrierungsbereich
abdeckt.
-
In
dem Shared-Key-Management-Server der vorliegenden Erfindung kann
das Mittel zum Mitteilen eines Shared-Key allen Access-Point-Geräten einen Shared-Key
mitteilen, die sich in einem Bereich befindet, in dem der Ort des
Endgeräts
auf dem zweiten Kommunikationsnetzwerk registriert ist.
-
In
dem Shared-Key-Management-Server der vorliegenden Erfindung kann
das Mittel zur Erzeugung eines Shared-Key für jedes Access-Point-Gerät einen
unterschiedlichen Shared-Key erzeugen und das Mittel zur Mitteilung
eines Shared-Keys kann jedem Access-Point-Gerät den für das jeweilige Access-Point-Gerät erzeugten
Shared-Key mitteilen, und dem Endgerät alle Shared-Keys mitteilen.
In dem Shared-Key-Management-Server der vorliegenden Erfindung kann
das Mittel zur Erzeugung eines Shared-Key auch ohne Anfrage des
Endgeräts
in vorbestimmten Zeitintervallen einen Shared-Key für das Endgerät erzeugen.
-
Das
Endgerät
gemäß der vorliegenden
Erfindung ist ein Endgerät
zur Verwendung in einem Funkkommunikationssystem umfassend ein erstes Kommunikationsnetzwerk
für von
dem Endgerät durchgeführte Datenkommunikationen
und einem zweiten Kommunikationsnetzwerk, das unabhängig von
dem ersten Kommunikationsnetzwerk gebildet ist und vorgesehen ist,
um einen Shared-Key zur Verwendung in den Datenkommunikationen zu
erzeugen. Das Endgerät,
das sich mit dem ersten Kommunikationsnetzwerk und dem zweiten Kommunikationsnetzwerk über einen
Funkkanal verbindet, umfaßt:
ein erstes Kommunikationssteuerungsmittel zur Steuerung von Funkkommunikationen,
die über
das erste Kommunikationsnetzwerk durchgeführt werden; ein zweites Kommunikationssteuerungsmittel zur
Steuerung von Kommunikationen, die über das zweite Kommunikationsnetzwerk
durchgeführt
werden; sowie ein Hauptsteuerungsmittel, um über das zweite Kommunikationssteuerungsmittel
einen Shared-Key-Management-Server,
der einen Shared-Key managt, zu beauftragen, einen Shared-Key zu
erteilen, zum Empfangen des von dem Server erteilten Shared-Keys,
und zum Mitteilen des Shared-Key an das erste Kommunikationssteuerungsmittel
zur Verwendung zwischen dem ersten Kommunikationssteuerungsmittel
und dem ersten Kommunikationsnetzwerk.
-
Das
Endgerät
der vorliegenden Erfindung kann auch so eingerichtet sein, daß das erste
Kommunikationsnetzwerk aus einem WLAN gebildet ist, das sich mit
dem Endgerät über eine
Funkverbindung verbindet und mit einer Authentifizierungseinheit
versehen ist; wobei die Authentifizierungseinheit eine Funktion
aufweist zur wahr/falsch-Authentifizierung des Endgeräts unter
Verwendung einer Ausgabe einer Authentifizierungsanfrage vom Endgerät basierend
auf dem Shared-Key als ein Auslöser,
und zur Mitteilung des Authentifizierungsergebnisses an das Endgerät; die Authentifizierungseinheit
umfaßt
wenigstens ein Access-Point-Gerät und verbindet
sich mit dem WLAN über
ein Kabel-LAN; und
das zweite Kommunikationsnetzwerk ist ein Mobiltelefonnetzwerk,
das wenigstens einen Ortsregistrierungsbereich abdeckt.
-
In
dem Endgerät
der vorliegenden Erfindung kann das Hauptsteuerungsmittel beim Server
in vorbestimmten Zeitintervallen die Erteilung eines Shared-Keys
anfordern.
-
In
dem Endgerät
der vorliegenden Erfindung kann das Hauptsteuerungsmittel auch immer
dann die Erteilung eines Shared-Keys anfordern, wenn es eine Ortsregistrierung
am zweiten Kommunikationsnetzwerk durchführt.
-
In
dem Endgerät
der vorliegenden Erfindung kann das erste Kommunikationssteuerungsmittel
den Shared-Key zur Verschlüsselung
von Daten verwenden, die zwischen dem ersten Kommunikationsnetzwerk
gesendet/empfangen werden.
-
In
dem Endgerät
der vorliegenden Erfindung kann das erste Kommunikationssteuerungsmittel
den Shared-Key auch für
eine Authentifizierung durch das erste Kommunikationsnetzwerk verwenden.
-
KURZE BESCHREIBUNG DER
ZEICHNUNGEN
-
1 ist
eine konzeptionelle Darstellung zur Erläuterung einer Prozeßübersicht
einer WEP-Verschlüsselung;
-
2 ist
eine konzeptionelle Darstellung zur Erläuterung einer Prozeßübersicht
einer Entschlüsselung
der WEP-Verschlüsselung;
-
3 ist
ein Systemdiagramm, das den Aufbau eines Funkkommunikationssystems
eines Ausführungsbeispiels
gemäß der vorliegenden
Erfindung zeigt;
-
4 ist
ein Blockdiagramm, das den Aufbau eines in 3 gezeigten
Endgeräts
zeigt;
-
5 ist
ein Blockdiagramm, das den Aufbau eines Shared-Key-Management-Servers
zur Erzeugung eines Shared-Keys zeigt;
-
6 ist
ein Sequenzdiagramm, das die Funktion des Funkkommunikationssystems
gemäß der vorliegenden
Erfindung zeigt;
-
7 ist
ein Flußdiagramm,
das detaillierter das Verfahren zur Erzeugung eines Shared-Keys zeigt;
-
8 ist
ein Sequenzdiagramm, das den Prozeß der Mitteilung eines Shared-Keys
zeigt;
-
9 ist
ein Sequenzdiagramm, das einen Prozeß einer Anfrage nach einer
Shared-Key-Erneuerung zeigt; und
-
10 ist
ein Sequenzdiagramm, das die Funktion des Funkkommunikationssystems
zum Zeitpunkt des Starts der WLAN-Kommunikationen zeigt, wenn ein Shared-Key
zur Benutzerauthentifizierung im WLAN verwendet wird.
-
BEVORZUGTES AUSFÜHRUNGSBEISPIEL
DER ERFINDUNG
-
Im
folgenden wird nun ein Ausführungsbeispiel
der Erfindung detailliert und unter Bezugnahme auf die Zeichnungen
erläutert.
-
3 ist
ein Systemdiagramm, das den Aufbau eines Funkkommunikationssystems
gemäß der vorliegenden
Erfindung zeigt. Wie in 3 gezeigt, ist das Funkkommunikationssystem
gemäß der vorliegenden
Erfindung so ausgelegt, daß es
ein Mobiltelefonsystem und ein WLAN-System kombiniert. Das Funkkommunikationssystem
der vorliegenden Erfindung umfaßt
ein Endgerät 1,
ein Access-Point-Gerät 2,
Shared-Key-Management-Server 3, 4 und eine Funkbasisstation 5.
-
Das
Endgerät 1 ist
ein Endgerät,
das gewöhnlich
von Mobiltelefonsystemen und WLAN-Systemen verwendet wird. Das heißt, das
Endgerät 1 ist ein
Mobiltelefon, in das die Funktionalität eines Endgerät-Endgeräts des WLAN-Systems
integriert ist. Das Endgerät 1 verbindet
sich mit dem Access-Point-Gerät 2 über einen
Funkkanal (Antenne), um Kommunikationen über das WLAN durchzuführen. Das
Endgerät 1 verbindet
sich auch mit einem Mobiltelefonnetzwerk 10 über die
Funkbasisstation 5, um Anrufe zu anderen Mobilfunk-Engeräten (nicht gezeigt)
oder zu mit einem Festnetz 11 verbundenen Telefon-Endgeräten (nicht
gezeigt) durchzuführen.
-
Das
Access-Point-Gerät 2 verbindet
sich mit einem Kabel-LAN 6 und verbindet sich auch mit
dem Endgerät 1 über den
Funkkanal. Mit dem Kommunikationen weiterleitenden Access-Point-Gerät 2 ist das
Endgerät 1 in
der Lage, sich mit dem Kabel-LAN 6 zu verbinden. Das Kabel-LAN 6 ist über Router 7 mit
einem Gerät
eines Internet-Serviceproviders (im folgenden bezeichnet als ein
ISP-Gerät) 8 verbunden.
Das Kabel-LAN 6 ist in der Lage, sich durch das ISP-Gerät 8 mit
dem Internet 9 zu verbinden.
-
Der
Shared-Key-Management-Server 3, der mit dem Internet 9 verbunden
ist, ist ein Server zum Managen eines Shared-Keys, der zum Verschlüsseln von
Daten auf dem Funkkanal in dem WLAN-System verwendet wird. Der Shared-Key-Management-Server 3 managt
einen Shared-Key, der von dem Shared-Key-Management-Server 4 empfangen
wird und führt
eine Mitteilung an das Access-Point-Gerät 2 über das
Internet 9 durch.
-
Der
Shared-Key-Management-Server 4 ist mit dem Mobiltelefonnetzwerk 10 verbunden.
Das Mobiltelefonnetzwerk 10, das Internet 9 und
das Festnetz 11 sind miteinander verbunden. Der Shared-Key-Management-Server 4 erzeugt
einen Shared-Key zur Verwendung in dem WLAN-System, managt diesen
und teilt diesen dem Endgerät 1 und dem
Shared-Key-Management-Server 3 mit.
Ein Shared-Key wird auf Anfrage von dem Endgerät 1 erzeugt. Der Shared-Key-Management-Server 4 kann periodisch
einen Shared-Key erzeugen, um diesen ohne eine Anfrage des Endgeräts 1 zu
erneuern.
-
Die
mit dem Mobiltelefonnetzwerk 10 verbundene Funkbasisstation 5 verbindet
sich mit dem Endgerät 1 als
ein Mobiltelefon-Endgerät über den Funkkanal.
Entsprechend ist das Endgerät 1 in
der Lage, Anrufe mit anderen Mobiltelefon-Endgeräts (nicht gezeigt) oder Festnetztelefonen
(nicht gezeigt), die mit dem Festnetz 11 verbunden sind, durchzuführen.
-
Mit
dem oben beschriebenen Aufbau wird, wenn ein Anruf von dem Endgerät 1 des
Mobiltelefonnetzwerks 5 an ein Festnetztelefon (nicht gezeigt),
das mit dem Festnetz 11 verbunden ist, getätigt wird,
erst eine Verbindung zwischen dem Endgerät 1 und der Funkbasisstation 5 hergestellt.
Dann führen
das Mobiltelefonnetzwerk 10 und das Endgerät 1 eine
Kreuz-Authentifizierung, eine Ortsregistrierung und eine Sicherung
eines Bands durch Senden/Empfang von Steuerinformationen durch.
Dann wird ein Vermittlungsprozeß innerhalb
des Mobiltelefonnetzwerks 10 durchgeführt und der Kanal wird mit der
Adresse des Festnetztelefons verknüpft, so daß ein Anruf realisiert werden
kann.
-
Die
Ortsregistrierung kann gleichzeitig mit dem Aufbau eines Anrufs
durchgeführt
werden. Wenn das Endgerät 1 sich
von einem vorbestimmten Ortsregistrierungsbereich zu einem anderen
Ortsregistrierungsbereich bewegt, so wird der Ort des neuen Bereichs
registriert.
-
In
dem Fall, daß das
Endgerät 1 mit
dem Internet 9 unter Verwendung des WLAN-Systems verbunden
werden soll, wird dies realisiert, indem ein Kanal zur Durchführung der
Funkkommunikationen zwischen dem Endgerät 1 und dem Access-Point-Gerät 2 definiert
wird, und indem eine Kreuz-Authentifizierung
durchgeführt
wird, so daß das
Endgerät 1 mit
dem Internet 9 über
den Router 7 und das ISP-Gerät 8 verbunden wird.
-
4 ist
ein Blockdiagramm, das den Aufbau des in 3 gezeigten
Endgeräts
zeigt. Unter Bezugnahme auf 4 umfaßt das Endgerät 1 eine Funkkommunikationssteuereinheit 21 für ein Mobiltelefon,
ein Display 22, einen Prozessor (CPU) 23, einen
Speicher 24, ein Eingabegerät 25, einen Sprachcodec 26,
ein Mikrofon 27, einen Lautsprecher 28, eine WLAN-Kommunikationssteuerungseinheit 29 und
Antennen 30, 31.
-
Die
Antenne 30 wird für
das Mobiltelefonsystem verwendet und die Antenne 31 wird
für das WLAN-System
verwendet.
-
Die
CPU 23 führt
die Abarbeitung eines Programms durch, das in dem Speicher 24 gespeichert ist,
und steuert die Funkkommunikationssteuerungseinheit 21 für ein Mobiltelefon,
das Display 22, das Eingabegerät 25, den Sprachcodec 26 und
die WLAN-Kommunikationssteuerungseinheit 29, so daß diese
koordiniert zusammenwirken. Die CPU 23 führt auch
Ortsregistrierungen, Sprachanrufe und ähnliches durch, indem die Steuerinformationen
zwischen der Funkbasisstation 5 und zwischen Mobilvermittlungsstellen
(nicht gezeigt) in dem Mobiltelefonnetzwerk 10 gesendet/empfangen
werden. Die CPU 23 erhält,
wenn sie eine Ortsregistrierung durchführt, einen Shared-Key zusammen
mit der Registrierung, indem eine entsprechende Anfrage an den Shared-Key-Management-Server 4 gerichtet wird.
Ferner verwendet die CPU 23 den Shared-Key, um dadurch
Datenkommunikationen durchzuführen, indem
eine Verbindung mit dem Internet 9 über das Access-Point-Gerät 2,
das ISP-Gerät 8 oder ähnlichem
in dem WLAN-System durchgeführt
wird.
-
Das
Eingabegerät 25 ist
eine Bedienungseinheit zur Verwendung bei der Eingabe von durch Benutzer
eingegebenen Informationen.
-
Das
Display 22 zeigt verschiedene Arten von Informationen an,
wie beispielsweise Informationseingaben von dem Eingabegerät 25 durch
einen Benutzer, Informationen, die den Zustand des Endgeräts 1 anzeigen,
Informationen, die durch Datenkommunikationen empfangene Dateninhalte
anzeigen, oder ähnliches,
gemäß der Steuerung
der CPU 23.
-
Die
Funkkommunikationssteuereinheit 21 für ein Mobiltelefon moduliert/demoduliert
Signale, die durch die Antenne 30 gesendet/empfangen wurden und
konvertiert diese in Basisband-Signale. Beispielsweise werden durch
die CPU demodulierte Signale von Sprachanrufen zum Sprachcodec 26 übertragen.
Signale der Steuerungsinformation werden der CPU 23 eingegeben.
-
Der
Sprachcodec 26 empfängt
analoge Signale von den Anrufstimmen von dem Mikrofon 27,
kodiert diese und überträgt diese
an die CPU 23. Das Sprachcodec 26 überträgt auch
analoge Signale an den Lautsprecher 28, die durch die Dekodierung
der kodierten Anrufstimmen erzeugt werden, die von der CPU 23 empfangen
wurden.
-
Die
WLAN-Kommunikationssteuerungseinheit 29 moduliert/demoduliert
Signale, die durch die Antenne 31 gesendet/empfangen wurden.
Signale auf dem Funkkanal zwischen dem Access-Point-Gerät 2 und
dem Endgerät 1 wurden
mit dem Shared-Key verschlüsselt,
so daß sich
die Daten in einem Zustand befinden, indem sie nicht der Abhörung oder
Manipulation ausgesetzt sind. Diese Verschlüsselung und Entschlüsselung
wird auch in der WLAN-Kommunikationssteuerungseinheit 29 durchgeführt.
-
Die
demodulierten Signale der Datenkommunikationen werden temporär in dem
Speicher 24 aufgezeichnet. Dann werden die in dem Speicher 24 aufgezeichneten
Signale der Datenkommunikationen auf dem Display 22 dargestellt,
beispielsweise durch Steuerung der CPU 23.
-
5 ist
ein Blockdiagramm, das den Aufbau des Shared-Key-Management-Servers
zeigt, der einen Shared-Key erzeugt. Unter Bezugnahme auf 5 umfaßt der Shared-Key-Management-Server 4 zur
Erzeugung eines Shared-Key eine Kommunikationssteuerungseinheit 32,
eine Erteilungsanfragenempfangseinheit 33, eine Shared-Key-Erzeugungseinheit 34,
sowie eine Shared-Key-Mitteilungseinheit 35.
-
Die
Kommunikationssteuerungseinheit 32, die sich mit dem Mobiltelefonnetzwerk 10 verbindet, steuert
Kommunikationen mit dem Endgerät 1,
dem Shared-Key-Management-Server 3,
usw. Nach Empfang einer Anfrage zur Erzeugung eines Shared-Keys
vom Endgerät 1 teilt
die Kommunikationssteuerungseinheit 32 die Anfrage der
Erteilungsanfragenempfangseinheit 33 mit. Die Anfrage umfaßt Informationen,
die das Endgerät 1 bezeichnen,
das die Erzeugung eines Shared-Keys beauftragt hat, und Informationen über einen
Bereich, in dem der Ort des Endgeräts 1 registriert ist.
-
Die
Kommunikationssteuerungseinheit 32 steuert auch die Kommunikationen,
um den Shared-Key von der Shared-Key-Mitteilungseinheit 35 an das
Endgerät 1 oder
den Shared-Key-Management-Server 3 weiterzuleiten.
-
Die
Erteilungsanfragenempfangseinheit 33 empfängt die
Anfrage zur Erzeugung des Shared-Keys vom Endgerät 1 und führt eine
Mitteilung an die Shared-Key-Erzeugungseinheit 34 durch.
-
Nach
Empfang einer Anfrage von der Erteilungsanfragenempfangseinheit 33 erzeugt
die Shared-Key- Erzeugungseinheit 34 einen Shared-Key
für das
Endgerät 1,
das den Shared-Key beantragt hat, und übermittelt diesen zur Shared-Key-Mitteilungseinheit 35.
Die Shared-Key-Erzeugungseinheit 34 erzeugt
auch in bestimmten Zeitintervallen für jedes der Endgeräts 1 einen
neuen Shared-Key
und übermittelt
diesen zur Shared-Key-Mitteilungseinheit 35.
-
Nach
Empfang des Shared-Key von der Shared-Key-Erzeugungseinheit 34 teilt
die Shared-Key-Mitteilungseinheit 35 den Shared-Key dem
entsprechenden Endgerät 1 mit.
Die Shared-Key-Mitteilungseinheit 35 übermittelt auch die Shared-Keys für alle Access-Point-Geräte 2,
die sich in dem Bereich befinden, an dem das Endgerät 1 registriert
ist, zum Shared-Key-Management-Server 3.
Es sei hier auch bemerkt, daß die
Shared-Keys für
die jeweiligen Access-Point-Geräte 2 unterschiedlich
sind.
-
6 ist
ein Sequenzdiagramm, das die Funktion des Funkkommunikationssystems
gemäß der vorliegenden
Erfindung zeigt. Wie in 6 gezeigt umfaßt das Mobiltelefonnetzwerk 10 eine
Mobilvermittlungsstation (MSC/VLR) 41 und ein Heimatregister
(im folgenden als HLR = Home-Location-Register bezeichnet) 42.
Diese Mobilvermittlungsstation 41 umfaßt ein Aufenthaltsregister
(im folgenden bezeichnet als VLR = Visitor-Location-Register). Das HLR 42 sammelt
in einer Datenbank Teilnehmerinformationen der Benutzer der Endgeräts 1.
Das VLR zeichnet Endgeräts 1 auf,
deren Orte in dem Kommunikationsbereich der jeweiligen Funkbasisstation 5 registriert
sind. Der Shared-Key-Management-Server 4 kann betrachtet
werden als verbunden mit dem Mobiltelefonnetzwerk, oder als in dem
Mobiltelefonnetzwerk beinhaltet.
-
Unter
Bezugnahme auf 6 empfängt das Endgerät 1 als
ein Mobiltelefon-Endgerät
Ortungssignale, die von mehreren Funkbasisstationen 5 ausgesendet
werden und sendet unter Adressierung einer Funkbasisstation 5 mit
den besten Funkwellenbedingungen, eine Nachricht bzgl. einer Anfrage
für eine
Ortsregistrierung an die Mobilvermittlungsstelle 41 (Schritt 101).
Die Nachricht für
die Anfrage nach Ortsregistrierung umfaßt eine Benutzeridentifikations-ID
zur Identifizierung des Benutzers des Endgeräts 1.
-
Als
nächstes
wird ein Authentifizierungsprozeß und ein Verbergungsprozeß zwischen
der Mobilvermittlungsstelle 41 und dem Endgerät 1 durchgeführt (Schritt 102).
Mit dem Authentifizierungsprozeß wird
festgestellt, ob das Endgerät 1 in
der Lage ist, sich mit dem Mobiltelefonnetzwerk zu verbinden oder nicht.
Weiter beginnt mit dem Verbergungsprozeß die Verbergung der Signale
auf dem Funkkanal.
-
Als
nächstes überträgt die Mobilvermittlungsstelle 41 die
Nachricht für
die Anfrage nach Ortsregistrierung an das HLR 42 (Schritt 103).
Das HLR 42 extrahiert nach Empfang der Nachricht bzgl. der
Anfrage nach Ortsregistrierung Teilnehmerinformation, indem sie
die in der Nachricht enthaltene Benutzeridentifikations-ID verwendet,
und überträgt diese
an die Mobilvermittlungsstelle 41 (Schritt 104).
Die Mobilvermittlungsstelle 41 verwendet die Teilnehmerinformation,
um dadurch das Endgerät 1 im
VLR zu registrieren. Im VLR werden die Teilnehmerinformationen durch eine
temporäre
Benutzeridentifikation-ID gemanagt, die temporäre Information zur Identifizierung
des Benutzers des Endgeräts 1 darstellt.
-
Die
Mobilvermittlungsstelle 41 überträgt nach Empfang der Teilnehmerinformationen
eine Antwortnachricht bzgl. des Empfangs der Teilnehmerinformation
an das HLR 42 (Schritt 105). Das HLR 42 überträgt nach
Empfang der Antwortnachricht bzgl. des Empfangs der Teilnehmerinformation
eine Antwortnachricht bzgl. der Ortsregistrierung an die Mobilvermittlungsstelle 41 (Schritt 106).
-
Als
nächstes überträgt die Mobilvermittlungsstelle 41 die
Antwortnachricht der Ortsregistrierung und die temporäre Benutzeridentifikations-ID
an das Endgerät 1 (Schritt 107).
Das Endgerät 1 überträgt nach
Empfang der temporären
Benutzeridentifikations-ID eine Antwortnachricht bzgl. des Empfangs der
temporären
Benutzeridentifikations-ID an die Mobilvermittlungsstelle 41 (Schritt 108).
-
Das
oben Beschriebene ist die allgemeine Funktion der Ortsregistrierung
in einem bestehenden Mobiltelefonsystem.
-
Wenn
die Ortsregistrierung abgeschlossen wurde, überträgt das Endgerät 1 eine
Nachricht bzgl. der Anfrage der Erteilung eines WLAN-Shared-Key an
die Mobilvermittlungsstelle 41, um die Erteilung eines
Shared-Keys in dem
WLAN-System zu beantragen (Schritt 109). Die Mobilvermittlungsstelle 41 überträgt nach
Empfang der Nachricht bzgl. der Anfrage nach Erteilung eines WLAN-Shared-Keys die Nachricht
an den Shared-Key-Management-Server 4 (Schritt 110).
Die Nachricht bzgl. der Anfrage nach Erteilung eines WLAN-Shared-Keys
umfaßt
die temporäre Benutzeridentifikations-ID
des Endgeräts 1 und
eine Basisstation-ID einer Funkbasisstation 5, an der der
Ort des Endgeräts 1 registriert
ist.
-
Der
Shared-Key-Management-Server 4 führt nach Empfang der Nachricht
bzgl. der Anfrage nach Erteilung eines WLAN-Shared-Keys einen Shared-Key-Erzeugungsprozeß P1 durch
und überträgt eine
Nachricht bzgl. der Übertragung
des WLAN-Shared-Keys
an die Mobilvermittlungsstelle 41, die den erzeugten Shared-Key
umfaßt
(Schritt 111). Daraufhin überträgt die Mobilvermittlungsstelle 41 eine
Antwortnachricht bzgl. des Empfangs des WLAN-Shared-Key an den Shared-Key-Management-Server 4 (Schritt 112)
und überträgt die Nachricht
bzgl. der Übertragung
des WLAN-Shared-Key an
das Endgerät 1 (Schritt 113).
Daraufhin überträgt das Endgerät 1 die
Antwortnachricht bzgl. des Empfangs des WLAN-Shared-Keys an die
Mobilvermittlungsstelle 41 (Schritt 114).
-
Mit
der oben aufgeführten
Abarbeitungen von Schritt 109 bis Schritt 114 wird
der Shared-Key an das Endgerät 1 ausgeliefert.
-
7 ist
ein Flußdiagramm,
das Details des Shared-Key-Erzeugungsprozesses
zeigt. Unter Bezugnahme auf 7 empfängt der
Shared-Key-Management-Server 4 die Nachricht bzgl. der
Anfrage nach Erteilung des WLAN-Shared-Key (Schritt 201), der
in dem in 6 gezeigten Schritt 110 von
der Mobilvermittlungsstelle 41 übertragen wurde. Danach detektiert
der Shared-Key-Management-Server 4, mit einer in der Nachricht
enthaltenen Basisstation-ID, ob ein Access-Point-Gerät 2 in dem Kommunikationsbereich
der Funkbasisstation 5 existiert (Schritt 202).
Da sowohl die Funkbasisstation 5 als auch das Access-Point-Gerät 2 in
einem festen Verhältnis
zueinander angeordnet sind, werden die Basisstation-IDs und die
Access-Point-Geräte 2,
die innerhalb des Kommunikationsbereichs vorliegen, entsprechend
in der Datenbank des Shared-Key-Management-Servers 4 gespeichert.
Unter Verwendung der Datenbank kann der Shared-Key-Management-Server 4 das
Access-Point-Gerät 2 sofort
detektieren. Der Kommunikationsbereich einer Funkbasisstation 5 kann
auch mehrere Access-Point-Geräte 2 umfassen.
-
Der
Shared-Key-Management-Server 4 erzeugt dann gemäß der vorbeschriebenen
Regel für jedes
Access-Point-Gerät 2 einen
zugehörigen Shared-Key
(Schritt 203). Es ist hier zu bemerken, daß der Grund
dafür,
daß für jedes
Access-Point-Gerät 2 ein
eigener Shared-Key erzeugt wird, darin besteht, daß diese
weniger einer Entzifferung ausgesetzt sind, als wenn für mehrere
Access-Points ein gemeinsamer Shared-Key verwendet werden würde. Allerdings
kann auch ein gemeinsamer Shared-Key für mehrere Access-Points Verwendung
finden.
-
Der
Shared-Key-Management-Server 4 aktiviert dann einen Timer
zur Messung der Validierungszeit des Shared-Key (Schritt 204),
und überträgt eine Nachricht
bzgl. der Übertragung
des WLAN-Shared-Key an die Mobilvermittlungsstelle 41 (Schritt 205)
wie in 6 als Schritt 111 gezeigt ist. Da der
Shared-Key von der Mobilvermittlungsstelle 41 an das Endgerät 1 mitgeteilt
wird, wird die Erteilung des Shared-Keys auf der Seite des Endgeräts 1 mit
diesem Schritt vollendet.
-
Als
nächstes
führt der
Shared-Key-Management-Server 4 einen Shared-Key-Mitteilungsprozeß mit dem
Shared-Key-Management-Server 3 durch (Schritt 206).
Der Shared-Key-Mitteilungsprozeß ist ein
Prozeß zur
Mitteilung des Shared-Keys
an alle Access-Point-Geräte 2 in
dem Kommunikationsbereich der Funkbasisstation 5. Details
dieses Prozesses werden später
detailliert beschrieben. Mit einem Shared-Key-Erneuerungsprozeß wird der Shared-Key
dem Access-Point-Gerät 2 mitgeteilt,
so daß das
Endgerät 1 in
der Lage ist, sich mit dem Kabel-LAN 6 über das Access-Point-Gerät 2 zu
verbinden.
-
Der
Shared-Key-Management-Server 4 überwacht auch den Ablauf des
in Schritt 204 aktivierten Timers (Schritt 207).
Wenn der Timer abgelaufen ist, führt
der Shared-Key-Management-Server 4 einen
Prozeß zur
Anfrage einer Shared-Key-Erneuerung
durch (Schritt 208) und kehrt dann zu dem Prozeß von Schritt 203 zurück. Der
Prozeß bzgl.
der Anfrage nach einer Shared-Key-Erneuerung ist ein Prozeß bzgl.
der Anfrage nach einer periodischen Erneuerung des Shared-Keys,
dessen Details später
beschrieben werden. Der Shared-Key-Management-Server 4 erzeugt,
wenn er zu dem Prozeß aus Schritt 203 zurückgekehrt
ist, einen Shared-Key nach dem gleichen Verfahren wie oben beschrieben
und teilt diesen dem Endgerät 1 und
jedem Access-Point-Gerät 2 mit.
-
8 ist
ein Sequenzdiagramm, das den oben beschriebenen Shared-Key-Mitteilungsprozeß darstellt.
Der Shared-Key wird von dem Shared-Key-Management-Server 4 dem
Access-Point-Gerät 2 über den
Shared-Key-Management-Server 3 und das ISP-Gerät 8 mitgeteilt.
-
Bezugnehmend
auf 8 überträgt der Shared-Key-Management-Server 4 eine
Nachricht bzgl. der Anfrage nach einer WLAN-Shared-Key-Erneuerung
an den Shared-Key-Management-Server 3,
um eine Erneuerung des Shared-Keys zu beantragen (Schritt 301).
Der Shared-Key-Management-Server 3 überträgt nach Empfang der Nachricht
eine Antwortnachricht bzgl. der Anfrage nach einer WLAN-Shared-Key-Erneuerung
zurück
(Schritt 302). Dann überträgt der Shared-Key-Management-Server 4 eine
Nachricht bzgl. der Übertragung
des WLAN-Shared-Key an den Shared-Key-Management-Server 3 (Schritt 303).
Die Nachricht bzgl. der Übertragung
des WLAN-Shared-Key
ist eine Nachricht für
die Mitteilung eines jeweiligen Shared-Keys, der jedem Access-Point-Gerät 2 im
Kommunikationsbereich (Servicebereich) der Funkbasisstation 5 in der
der Ort des Endgeräts 1 registriert
ist, zugehörig ist.
Die Nachricht bzgl. der Übertragung
des WLAN-Shared-Keys umfaßt
eine temporäre
Benutzeridentifikations-ID, die dem Benutzer des Endgeräts 1 zugeteilt
ist, eine ESSID für
jedes Access-Point-Gerät 2 in
dem Servicebereich, sowie einen dem jeweiligen Access-Point-Gerät 2 zugehörigen Shared-Key.
Der Shared-Key-Management-Server 3 überträgt nach Empfang der Nachricht
bzgl. der Übertragung
des WLAN-Shared-Key eine Antwortnachricht bzgl. des Empfangs des WLAN-Shared-Key
zurück
(Schritt 304).
-
Mit
dem Ablauf der Schritte 301 bis 304, wie oben
beschrieben, wird der dem jeweiligen Access-Point-Gerät 2 in
dem Servicebereich des Endgeräts 1 zugehörige Shared-Key
von dem Shared-Key-Management-Server 4 zum Shared-Key-Management-Server 3 übertragen.
-
Als
nächstes
wird der Shared-Key von dem Shared-Key-Management-Server 3 an das
ISP-Gerät 8 übertragen
(Schritte 305 bis 308), wobei dasselbe Verfahren
wie in den Schritten 301 bis 304 angewendet wird.
-
Ferner
wird der Shared-Key von dem ISP-Gerät 8 an jedes Access-Point-Gerät 2 mit
demselben Verfahren übertragen
(Schritte 309 bis 312).
-
9 ist
ein Sequenzdiagramm, das den oben aufgeführten Prozeß der Anfrage nach einer Shared-Key-Erneuerung darstellt.
Der Prozeß bzgl. der
Anfrage nach einer Shared-Key-Erneuerung ist ein Prozeß zur Anfrage
nach einer periodischen Erneuerung des Shared-Keys. Falls die Gültigkeitszeit des
Shared-Keys in Schritt 207 aus 7 als abgelaufen
bestimmt wird, geht der Shared-Key-Management-Server 4 zum Prozeß der Anfrage
einer Shared-Key-Erneuerung des Schrittes 208 über.
-
Bezugnehrnend
auf 9 überträgt der Shared-Key-Management-Server 4 eine
Nachricht bzgl. der Anfrage nach einer WLAN-Shared-Key-Erneuerung
an die Mobilvermittlungsstelle 41, um eine Erneuerung des
Shared-Keys zu beantragen,
dessen Gültigkeitsdauer
abgelaufen ist (Schritt 401). Die Mobilvermittlungsstelle 41 überträgt die Nachricht nach
Empfang der Nachricht an das Endgerät 1 (Schritt 402).
-
Das
Endgerät 1 überträgt eine
Antwortnachricht bzgl. der WLAN-Shared-Key-Erneuerung an die Mobilvermittlungsstelle 41,
wobei die Annahme der Erneuerung des Shared-Keys angezeigt wird
(Schritt 403). Die Nachricht wird dann von der Mobilvermittlungsstelle 41 an
den Shared-Key-Management-Server 4 übertragen
(Schritt 404).
-
Mit
dem Ablauf der Schritte 401 bis 404 wird sichergestellt,
daß die
Shared-Key-Erneuerung zwischen dem Endgerät 1 und dem Shared-Key-Management-Server 4 anerkannt
wurde. Dann beginnt der Shared-Key-Management-Server 4 mit
der Erzeugung des Shared-Keys wie in Schritt 203 von 7 gezeigt
ist.
-
Gemäß der vorliegenden
Erfindung und wie oben beschrieben, hält jedes Access-Point-Gerät 2 des
WLAN in dem Kommunikationsbereich der Funkbasisstation 5 und
des Endgeräts 1 automatisch
einen nur gegenseitig bekannten Shared-Key, wenn der Ort des Endgeräts 1 an
einer Funkbasisstation 5 als Mobiltelefon-Endgerät registriert
ist, und Daten auf dem Funkkanal des WLAN werden mit dem Shared-Key verschlüsselt. Deshalb
kann trotzdem der Benutzer den Shared-Key nicht eingibt, das WLAN,
in dem die Daten verschlüsselt
werden, leicht verwendet werden, und die Verschlüsselungstechnik kann immer
auf korrekte Weise gemanagt werden.
-
Da
ferner der von dem Endgerät 1 und
dem jeweiligen Access-Point-Gerät 2 gehaltene Shared-Key
zum Zeitpunkt der Ortsregistrierung oder periodisch erneuert wird,
ist die Möglichkeit
einer Entzifferung des Shared-Keys und einer Abhörung oder Manipulierung der
Daten gering, so daß ein
System so konfiguriert werden kann, daß es exzellente Robustheitseigenschaften
aufweist (manipulierungssichere Eigenschaften).
-
Obwohl
die vorliegende Erfindung ein Beispiel zeigt, bei dem der Shared-Key-Management-Server 3 unabhängig von
dem ISP-Gerät 8 vorgesehen
ist, ist die vorliegende Erfindung nicht auf diesen Aufbau beschränkt. Das
ISP-Gerät 8 kann auch
eine Funktion des Shared-Key-Managementservers 3 übernehmen.
-
Obwohl
in dem vorliegenden Ausführungsbeispiel
ein Beispiel gezeigt ist, bei dem die temporäre Benutzeridentifikations-ID
von dem Shared-Key-Management-Server 4 an
den Shared-Key-Management-Server 3 mitgeteilt wird, ist die
vorliegende Erfindung ferner nicht auf diesen Aufbau beschränkt und
die temporäre
Benutzeridentifikations-ID
kann auch nicht übertragen
werden.
-
Ferner
ist in dem vorliegenden Ausführungsbeispiel
das Endgerät 1 so
eingerichtet, daß es
zum Zeitpunkt der Ortsregistrierung der Mobiltelefon-Systemseite
eine Anfrage nach einem Shared-Key für das WLAN-System an den Shared-Key-Management-Server 4 stellt.
Allerdings ist die vorliegende Erfindung nicht auf diesen Aufbau
beschränkt.
Das Endgerät 1 kann
die Anfrage nach einem Shared-Key neben dem Zeitpunkt der Ortsregistrierung
auch zu jedem beliebigen anderen Zeitpunkt stellen. Beispielsweise
kann ein Shared-Key auch beantragt werden, indem das Eingabegerät 25 betätigt wird. Ferner
kann durch Bereitstellung eines Timers zur Bestimmung einer Zeitspanne
ein Shared-Key auch nach Ablauf bestimmter Zeitintervalle beantragt
werden.
-
Obwohl
in dem vorliegenden Ausführungsbeispiel
ein Funkkommunikationssystem gezeigt ist, bei dem ein Shared-Key
für die
Verschlüsselung
der Datenkommunikationen in einem WLAN verwendet wird, kann ein
derartiger Shared-Key auch für anderweitigen
Sicherungsschutz Verwendung finden. Beispielsweise kann ein Shared-Key
für die
Benutzerauthentifizierung des WLAN Verwendung finden.
-
10 ist
ein Sequenzdiagramm, das die Funktion des Funkkommunikationssystems
zum Zeitpunkt des Beginns der Kommunikationen des WLAN für den Fall
zeigt, daß der
Shared-Key für die Benutzerauthentifizierung
für das
WLAN verwendet wird. Bezugnehmend auf 10 überträgt das Endgerät 1,
wenn die Kommunikation durch das WLAN begonnen wird, erst eine Nachricht
bzgl. der Anfrage nach Benutzerauthentifizierung an das Access-Point-Gerät 2,
um eine Authentifizierung anzufordern (Schritt 501). Das
Access-Point-Gerät 2 überträgt diese
an das ISP-Gerät 8 (Schritt 502).
-
Das
ISP-Gerät 8 überträgt eine
Antwortnachricht bzgl. der Anfrage nach Benutzerauthentifizierung
an das Access-Point-Gerät 2,
wobei auf die Authentifizierungsanfrage geantwortet wird (Schritt 503).
Das Access-Point-Gerät 2 überträgt diese
an das Endgerät 1 (Schritt 504).
-
Das
Endgerät 1 verschlüsselt eine
temporäre
Benutzer-ID unter Verwendung des Shared-Keys (Schritt 505)
und überträgt diese
an das Access-Point-Gerät 2 (Schritt 506).
Das Access-Point-Gerät 2 überträgt dsie
an das ISP-Gerät 8 (Schritt 507).
-
Das
ISP-Gerät 8 entschlüsselt die
Verschlüsselung
der temporären
Benutzeridentifikations-ID unter Verwendung des Shared-Key, verifiziert
diese mit den im voraus gespeicherten Informationen (Schritt 508)
und überträgt das Verifikationsergebnis
an das Access-Point-Gerät 2 als
eine Nachricht bzgl. der Mitteilung eines Authentifizierungsergebnisses (Schritt 509).
Das Access-Point-Gerät 2 überträgt diese
an das Endgerät 1 (Schritt 510).
Falls das Authentifizierungsergebnis einen Benutzer authentifiziert,
startet das Endgerät 1 die
Kommunikation über das
WLAN (Schritt 511).
-
Da
unter Verwendung des automatisch erzeugten und erneuerten Shared-Keys
eine Authentifizierung zwischen dem Endgerät 1 und dem ISP-Gerät 8 durchgeführt wird,
ohne daß eine
spezifische Erkennung des Benutzers stattfindet, ist es dementsprechend
möglich,
einen unauthorisierten Zugang zum WLAN-System auf einfache und zuverlässige Weise
zu verhindern.
-
Es
ist auch möglich
den Fall zu verhindern, daß ein
Dritter durch unauthorisierten Zugang an Stelle des Benutzers agiert
womit dem Benutzer fälschlicherweise
große
Geldsummen in Rechnung gestellt werden würden. Damit kann die Abrechnung der
Verwendung des Systems auf korrekte Weise durchgeführt werden.
-
Obwohl
in dem vorliegenden Ausführungsbeispiel
ein Beispiel gezeigt ist, bei dem für jedes Access-Point-Gerät 2 ein
unterschiedlicher Shared-Key erzeugt wird, ist die hier vorliegende
Erfindung nicht auf diese Konfiguration beschränkt. Alle Access-Point-Geräte in einem
Servicebereich können auch
denselben Shared-Key aufweisen. Gemäß dieser Konfiguration ist
die Erzeugung eines Shared-Keys vereinfacht und das von den Shared-Key-Management-Servern 3, 4 zum
Endgerät 1 und
den Access-Point-Geräten 2 übertragene Datenvolumen
kann reduziert werden.
-
(Wirkungen)
-
Gemäß der vorliegenden
Erfindung beantragt das Endgerät über das
zweite Kommunikationsnetzwerk beim Shared-Key-Management-Server die Erteilung eines
Shared-Keys und der Shared-Key-Management-Server erzeugt den Shared-Key
und teilt diesen sowohl dem Endgerät als auch der Authentifizierungseinheit
mit. Deshalb können
die Authentifizierungseinheit und das Endgerät automatisch einen Shared-Key
erhalten, der nur diesen beiden bekannt ist, und können diesen
zum Schutz der Sicherheit des Funkkanals verwenden, so daß der Sicherheitsschutz
des Funkkanals des ersten Kommunikationsnetzwerks auf einfache und
zuverlässige
Weise erreicht werden kann, ohne daß ein Benutzer des Endgeräts den Shared-Key
eingibt.
-
In
einem Ausführungsbeispiel
beantragt das gemeinsame Endgerät über das
Mobiltelefonnetzwerk beim Shared-Key-Management-Server die Erteilung eines
Shared-Keys und der Shared-Key-Management-Server erzeugt den Shared-Key
und teilt diesen sowohl dem gemeinsamen Endgerät als auch dem Access-Point-Gerät des WLAN
mit. So können das
WLAN und das gemeinsame Endgerät
automatisch einen Shared-Key erhalten, der nur diesen beiden bekannt
ist, und diesen zum Schutz der Sicherheit des Funkkanals verwenden,
so daß der
Sicherheitsschutz des WLANs auf einfache und zuverlässige Weise
erzielt werden kann, ohne daß ein
Benutzer des gemeinsamen Endgeräts
den Shared-Key eingibt.
-
Da
jedem Access-Point-Gerät
in der Umgebung des Endgeräts
ein Shared-Key zugewiesen wird, kann das WLAN ständig einen Zustand beibehalten,
bei dem das Endgerät
in der Lage ist, sich mit einem Access-Point-Gerät in dessen Umgebung zu verbinden.
-
Da
das Endgerät
Funkkommunikationen unter Verwendung verschiedener Shared-Keys für entsprechende
Access-Point-Geräte durchführt, ist
ferner die Möglichkeit
der Entzifferung des Shared-Key weiter reduziert.
-
Zudem
wird ein Shared-Key, der von dem Endgerät und dem ersten Kommunikationsnetzwerk gehalten
wird, automatisch periodisch oder zum Zeitpunkt der Ortsregistrierung
erneuert, was es erschwert, den Shared-Key durch kontinuierliche Überwachung
der Daten zu entziffern. Demgemäß ist es möglich, ein
System aufzubauen, bei dem weniger Möglichkeiten zum Abhören oder
Manipulieren von Daten bestehen, und daß bzgl. seiner Robustheitseigenschaften
(manipulierungssichere Eigenschaft) exzellent ist.